Fem steg till kontrollerad fjärranslutning med RDP

Blogginlägg -

Fem steg till kontrollerad fjärranslutning med RDP

Idag används ofta fjärranslutning för att komma åt servrar och nätverk på distans. En bra funktion, som tyvärr ofta sker okontrollerat. Låg kunskap och brist på tid när det gäller att hålla sig uppdaterad om nya säkerhetsbrister leder till att man ofta gör som man alltid har gjort.

En nätverksadministratör på ett energikraftverk jobbar hemifrån och behöver tillgång till en server i OT-miljön. Vad gör man? Använder Microsofts Terminal Services via Remote Desktop Protocol, eller RDP som de flesta kallar det. RDP finns installerat som standard i Microsoft-datorer och är ett välbeprövat protokoll som oftast inte medför några kompatibilitetsproblem. I höstas gick FBI tillsammans med Department of Homeland Security (DHS) ut med en varning där de belyste riskernamed RDP och det ökade antalet genomförda attacker mot protokollet.

Det här är inte en guide för hur du minimerar riskerna. Det här är 5 steg för hur du ska kunna ta kontrollen.

1. Stäng den vidöppna dörren

En oskyddad RDP-server är ett rop på hjälp. Ett av de största hoten mot RDP-servrar är så kallade brute-force-attacker. Den här tekniken tillåter attackeraren att systematiskt och automatiskt testa sig fram med olika lösenord tills man hittar det rätta för att komma åt det utvalda kontot. Ett scenario är att attackeraren sedan pressar organisationen och begär en lösensumma, men oftast finns en mer illvillig baktanke. Problemet i sig är inte att attackeraren har lyckats med att ta sig in utan hur tillgången till servern kan utnyttjas som en språngbräda till framtida attacker, där de planterar bakdörrar som kan användas vid senare tillfällen. Därför är det viktigt att det finns en lösenordspolicy som ser till att kontot tillfälligt kan spärras efter ett flertal felaktiga inloggningsförsök.

Svagheten ligger inte nödvändigtvis i dåliga lösenord utan att endast använda lösenord som inloggningsmetod. För att logga in till konton med administrativa funktioner bör snarare tvåfaktorsautentisering används. Det är också viktigt att göra skillnad mellan användare och administratörer. Som vanlig användare bör man inte ha tillgång till administrativa funktioner och det bör även specificeras en lista över tillgängliga resurser som respektive medarbetare har rätt att ansluta till.

2. Skaffa överblick och möjlighet till uppföljning

Första steget är att kontrollera vem vi släpper in. När man väl har släppt in användaren, hur håller man koll på att de gör det som de har sagt att de ska göra? Om aktiviteten i systemen inte loggas eller övervakas, försvåras möjligheten att spåra var attacken eller hotet kom ifrån.

I en OT-miljö finns ofta en blandning av så kallade person- och funktionskonton. Genom att endast kunna logga in med personkonton på utsidan, det vill säga via fjärranslutning, kan du skapa en fullständig verifikationskedja och spåra varje musklick på individnivå. Monitorering skapar möjlighet att agera på ovanliga aktiviteter i tid. Loggning ger dig möjlighet att svara på vad som ledde till den oönskade aktiviteten. Utan dessa funktioner kan man inte veta om någon har varit inne i systemet eller vad de har gjort. Oavsett hur stor överblick du skapar, är det fortfarande viktigt att ifrågasätta om alla funktioner borde vara tillgängliga via fjärranslutning.

3. Håll koll på versionerna

Microsofts RDP har funnits sedan 1996 och protokollet har uppdaterats ett antal gånger sedan dess, men många av de tidigare versionerna lever kvar på grund av kompatibilitetsskäl. De äldre protokollversionerna tillsammans med osäkra autentiseringsmetoder skapar utrymme för så kallade man-in-the-middle-attacker. Detta innebär att en tredje part tar sig in mellan de två parterna som utbyter information och har möjlighet att lyssna av eller förändra informationen utan att de två andra parterna upptäcker det.

Ett sätt att motverka detta är att använda sig utav de uppdaterade versionerna och hålla koll på vilka av dem som bör tillåtas att användas vid fjärranslutning. Kanske ännu viktigare är att göra sig av med de gamla versionerna så att de inte kan utnyttjas i den här formen av nedgraderingsattacker. Kort och gott, undvik brister i implementationen, se till att tjänsterna uppdateras löpande och konfigurera utefter nya förutsättningar.

4. Definiera gränsen vid delning av resurser

Det förekommer ofta som standard att tillåta obegränsad delning av resurser mellan lokala system och anslutna fjärrsystem. Dessa resurser delas via så kallad drag and drop, USB-, printer- eller fil-delning. Hur kan vi säkerställa att den information som överförs är säker och inte används på ett sätt som kan riskera miljöns säkerhet?

Att bevara hemligheter kanske inte är OT-miljöns främsta uppgift men däremot att behålla integriteten av anläggningen för att se till att den kan fungera obehindrat – det är prioriterat. En strikt gräns mellan miljöerna innebär att man kan kontrollera vilken information som passerar utan att vara beroende av implementationer på klientsidan. Utgå från att designen i användarens dator inte är säker och ta höjd för det i praktiken.

Fjärrsystemet bör hållas åtskilt från det lokala systemet och endast tillåta precis så mycket som behövs för att kunna genomföra arbetet. Det går att se till att användaren endast kan utföra tangenttryck och musklick eller endast få ta del av skärmbilder och inte kunna ladda ner informationen som sådan. Det handlar inte bara om att se vem som överförde vad och när, utan att faktiskt kunna kontrollera användarnas befogenheter.

5. Garantera säker fjärråtkomst

Dagens avancerade attacktekniker innebär att attackytorna behöver minskas och därmed begränsa fjärranslutningen - men inte utesluta den. Endast de som behöver ha tillgång ska ha tillgång och det under kontrollerade former. På så sätt kan du hindra skadlig kod från att komma in i det skyddade nätverket och säkerställa att känslig information inte läcker ut. Otillräcklig kunskap och tidsbrist att hålla sig à jour med nya säkerhetsbrister gör att man ibland väljer den enkla vägen och låter rådande tillvägagångssätt fortlöpa.

Vi på Advenica vet att det krävs mer än så, det krävs en lösning där man proaktivt tar höjd för säkerhetsbristerna. Garanterat säker fjärranslutning behöver inte betyda ingen fjärranslutning. Det går att skapa säker fjärråtkomst – så länge det görs kontrollerat. Men den kontrollen är inte alltid möjlig med en standardlösning.

Relaterade länkar

Ämnen

Kategorier

Kontakter

Petra Lamorell

Petra Lamorell

Presskontakt Marketing & Communications Manager 0723850220
Marie Bengtsson

Marie Bengtsson

Presskontakt CEO & CFO +46 40 60 80 400

Välkommen till Advenica – Cybersäkerhetslösningar som skyddar det allra viktigaste

Advenica erbjuder unika krypterings- och segmenteringsprodukter inom nätverkssäkerhet. Vi hjälper länder, myndigheter, offentlig sektor, kritisk infrastruktur och privata företag att säkra samhällets mest känsliga information.

Advenica
Roskildevägen 1
211 47 Malmö
Sweden
Vår hemsida
Advenica på Linkedin
Lär dig mer om cybersäkerhet - Prenumera på vårt nyhetsbrev